关于win2003域控制器应用程序日志中组策略出现ID为1058、1030纪录的解决方法

症状: 现公司域为windows2003域，共有两台DC（同时这两台DC也是DNS服务器），一直工作正常 在两个月之前第一台DC（暂时称之为DC1）因为主板出现故障无法启动，故由第二台DC（暂时称之为DC2）夺取FSMO角色，等DC1恢复工作之后，再让DC1获取FSMO角色，恢复原工作环境 但在恢复正常工作之后的一个月以后，不知何故，在DC2的事件日志中，应用程序纪录中开始出现大量的ID 1030、1058的错误信息，二十天后DC1上面也开始出现这两个错误信息，平均每隔5分钟纪录一次错误信息：类型: 错误 来源: Userenv类别: 无事件 ID: 1058 描述:Windows 无法访问 GPO cn=0D16F706-E6F8-41E8-BBDB-4A5C4952F024,cn=policies,cn=system,DC=quande,DC=qd 的文件 gpt.ini。此文件必须在 。(拒绝访问。（最早是找不到网络路径） )。组策略处理中止。有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。类型: 错误来源: Userenv类别: 无事件 ID:1030 描述:Windows 不能查询组策略对象列表。请查看事件日志，从中寻找策略引擎以前可能记录的描述此原因的消息。有关更多信息，请参阅在 /fwlink/events.asp 的帮助和支持中心。处理过程：解决方法一：* 按照Microsoft的客服支持网页/kb/zh-cn上的思路 认为主要是由于将不适当的权限分配给 %SystemRoot%WinntSysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment（跳过遍历检查用户权利指派），可能会发生此问题。另外，如果 sysvol 共享权限限制过多，也可能会发生此问题 提供的解决方案：（适用Windows Server 2003） 1. 设置文件夹安全权限。为此，请按照下列步骤操作： a. 在 Windows 资源管理器中，右键单击“%SystemRoot%WindowsSysvol”文件夹，然后单击“属性”。 b. 在“安全性”选项卡上，单击“高级”，单击以清除“允许从父系来的继承权限传播到这个对象” 复选框，然后单击“确定”。确保安全设置与以下设置相匹配，然后单击“确定”： 管理员： 完全控制 经身份验证的用户： 读取、读取和执行、列出文件夹内容 创建者所有者： 没有选中项 服务器操作员： 读取、读取和执行、列出文件夹内容 系统：完全控制 c. 右键单击“%SystemRoot%WindowsSysvolSysvol”文件夹，然后单击“属性”。 d. 在“安全性”选项卡上，单击“高级”，单击以清除“允许从父系来的继承权限传播到这个对象” 复选框，然后单击“确定”两次。 e. 右键单击“%SystemRoot%WinntSysvolSysvoldomain”文件夹，然后单击“属性”。 f. 在“安全性”选项卡上，单击“高级”，单击以清除“允许从父系来的继承权限传播到这个对象” 复选框，然后单击“确定”两次。 g. 右键单击“%SystemRoot%WinntSysvolSysvoldomainPolicies”文件夹，然后单击“属性”。 h. 在“安全性”选项卡上，单击“高级”，单击以清除“允许从父系来的继承权限传播到这个对象” 复选框，然后单击“确定”。确保安全设置与以下设置相匹配，然后单击“确定”： 管理员：完全控制 经身份验证的用户：读取、读取和执行、列出文件夹内容 创建者所有者：没有选中项 组策略创建者所有者：读取、读取和执行、列出文件夹内容、修改、写入 服务器操作员：读取、读取和执行、列出文件夹内容 系统：完全控制 i. 对于位于 %SystemRoot%WinntSysvolSysvoldomainPolicies 文件夹中的文件或文件夹， 分别右键单击这些文件或文件夹，然后单击“属性”。 j. 在“安全性”选项卡上，单击“高级”，单击以选择“允许从父系来的继承权限传播到这个对象” 复选框，然后单击“确定”两次。 2. 展开“Active Directory 用户和计算机”。为此，单击“开始”，单击“所有程序”，然后单击 “管理工具”。 3. 展开“Active Directory 用户和计算机”，展开域名，右键单击“域控制器”，然后单击“属性”。 4. 在“组策略”选项卡上，单击“默认域控制器策略”，然后单击“编辑”。注意：如果安装了组策略管理控制台，则“编辑”按钮不可用。在这种情况下，单击“打开”以启动组策略管理控制台，展开“domain name”，展开“域控制器”，右键单击“默认域控制器策略”，然后单击“编辑”。 5. 展开下面的文件夹： 计算机配置 Windows 设置 安全设置 本地策略 6. 单击“用户权限分配”，然后双击“跳过遍历检查”。应该出现下列默认设置： 经身份验证的用户 所有人 管理员 如果没有出现，而您又需要添加这些组，请单击“添加用户或组”，然后单击“浏览”。 7. 单击“开始”，单击“运行”，键入 gpupdate，然后单击“确定”。 8. 请验证 sysvol 共享权限设置是否正确，如下所示： 管理员 = 完全控制 经身份验证的用户 = 完全控制 所有人 = 读取注意：如果此过程不能解决问题，或者您在访问组策略时遇到问题，请检查服务器上的绑定顺序，以确保内部网络适配器在绑定顺序列表中排在第一位。要检查绑定顺序，请按照下列步骤操作：1. 右键单击“网上邻居”，然后单击“属性”。 2. 在“高级”菜单上，单击“高级设置”。 3. 在“连接”框内，确保内部网络适配器第一个列出。如果不是第一个，使用箭头将其移到列表顶部。照此文中所写，逐步检查并更正两台DC之后之后，状况照旧，并无解决其次在网上搜索相关信息，得到的结论也基本都是围绕着检查SYSVOL的共享权限的设置解决方法二：* 按照Microsoft的客服支持网页/kb/zh-cn上的说法：无法执行组策略处理，事件 1030 和 1058 被记录到域控制器的应用程序日志中原因: 如果 winlogon 进程试图在其他组件运行前处理组策略，则可能发生此问题。本文介绍的此修补程序添加了更多的逻辑，以增强 winlogon 和工作站服务的默认行为。 但是，其他一些情况也可能导致此问题。应用此修补程序前，请确保已启动并正确配置了下列组件： Netlogon 和 DFS 服务已启动。 域控制器具有读取和应用域控制器策略的权限。 在 Sysvol 共享上正确设置了 NTFS 文件系统权限和共享权限。 DNS 项对于域控制器正确。 解决方案:Windows Server 2003 Service Pack 信息 要解决此问题，请获取 Windows Server 2003 的最新 Service Pack。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： url=/kb/url如何获取 Windows Server 2003 的最新 Service Pack注意：安装 Service Pack 后，您仍然必须按照“注册表信息”一节中所述的过程操作。注册表信息:警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证可以解决这些问题。修改注册表需要您自担风险。注意：在 Windows Server 2003 中请按照下列步骤操作。应用此修补程序后，请按照下列步骤操作：1. 依次单击“开始”、“运行”，在“打开”框中键入 regedit，然后单击“确定”。2. 在注册表编辑器中，找到下面的注册表子项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon3. 如果缺少“WaitForNetwork”项，则必须添加此项。为此，请按照下列步骤操作： a. 右键单击“Winlogon”子项，单击“新建”，然后单击“DWORD 值”。 b. 在“数值名称”框中，键入 WaitForNetwork。 4. 右键单击“WaitForNetwork”，然后单击“修改”。5. 在“编辑 DWORD 值”对话框的“数值数据”框中键入 1，然后单击“确定”。6. 退出注册表编辑器。注册表内做如上添加之后，重启DC1和DC2，执行GPUPDATE /FORCE命令强制刷新组策略事件日志中出现ID1704，提示说组策略被成功应用解决方法三：* 在一本书中发现AD在应用组策略时在基于Distribute File System（DFS）服务进行查找的，并且相关的一些数据被保存在AD数据库当中。当即查看server上的DFS服务，是启动的，做如下操作：1.安装windows